Een onderzoekster heeft een nieuwe browser-aanval gedemonstreerd waardoor websites het surfgedrag van bezoekers kunnen achterhalen, ook als de surfgeschiedenis eerder door de gebruiker is verwijderd. De aanval maakt gebruik van HTTP Strict Transport Security (HTST) en Content Security Policy (CSP).
HSTS zorgt ervoor dat websites die via HTTPS te bezoeken zijn alleen via HTTPS worden bezocht, ook al wordt er HTTP in de adresbalk ingevoerd. De browser vangt in dit geval de opdracht van de gebruiker af en verandert die automatisch in HTTPS. CSP is een maatregel die cross-site scripting moet voorkomen. De aanval werd dit weekend tijdens de ToorCon conferentie door onderzoekster Yan Zhu gedemonstreerd (pdf).
Om de aanval uit te voeren moet een kwaadaardige pagina afbeeldingen van een HSTS-website embedden. De browser zal echter proberen om de afbeeldingen via HTTP te laden. Vervolgens wordt CSP gebruikt om te voorkomen dat HSTS ervoor zorgt dat ze via HTTPS worden geladen. In het geval CSP een afbeelding blokkeert veroorzaakt dit een foutmelding. Aan de hand van de tijd dat het duurt voordat de foutmelding verschijnt kan worden bepaald of de internetgebruiker de HSTS-website waarvan de afbeelding werd geprobeerd te laden eerder heeft bezocht.
Naast de uitleg op haar eigen weblog heeft Yan Zhu ook een demonstratiepagina online gezet die alleen werkt met Chrome en Firefox. Daarnaast moet de HTTPS Everywhere browserplug-in zijn uitgeschakeld. Tevens kunnen alleen eerder bezochte websites worden achterhaald die van HSTS gebruik maken. Op Hacker News wordt geopperd dat websites de aanval kunnen voorkomen door hun domein aan de HSTS preload list te laten toevoegen. In dit geval is de domeinnaam hardcoded in de browser opgenomen zodat die alleen via HTTPS wordt bezocht. Een medewerker van Mozilla noemt het op Reddit een "slimme aanval" en stelt dat de browserontwikkelaar naar een oplossing zoekt.
Deze posting is gelocked. Reageren is niet meer mogelijk.